Nachdem Ihr es geschafft habt die Firewall zu installieren und euch mit der Oberfläche vertraut gemacht habt, so fängt jetzt der Konfigurationsaufwand an. Leider habe ich bei dem Tutorial eines außer acht gelassen. Grundsätzlich bauen wir mein Homelab gerade nach, Problem ist jedoch, dass ich in meinen Netzen ein DHCP-Server schon am Start habe. Würde ich jetzt auf der pfSense im Lab ebenfalls ein DHCP-Server aktivieren in den gleichen Netzen, dann bestünde die Möglichkeit, dass beide gleiche IPs vergeben, was in einem Netzwerk nicht passieren sollte bzw. darf. Daher habe ich noch ein weiteres Netzwerk hinzugefügt, allerdings natürlich nur in der Lab-Umgebung.
Netzwerkkarte im Proxmox der pfSense hinzufügen
Wir klicken links auf die pfSense und begeben uns im rechten Bereich auf "Hardware". Oben auf "Hinzufügen" --> "Netzwerkkarte"
Hier setze ich die Reihe fort, sprich das 8te Netz kommt in das 1080iger VLAN.
Und siehe da... sieht doch super aus ... so haben wir die Netzkarte, die auch eine 8 in dem Falle bekommen hat 
Neue Netzwerkkarte in pfSense zuweisen
Nachdem wir die Kleinigkeit erledigt haben, müssen wir diese natürlich auch in der pfSense konfigurieren indem wir auf "Schnittstellen" gehen und "Zuweisen"
Es ist eine weitere Karte vtnet8 hinzugekommen, welche wir natürlich auswählen.
Da wir einen sinnvollen Namen für die Schnittstelle haben wollen anstatt "OPT1", so klicken wir auf OPT1 und konfigurieren Sie nach unseren wünschen. Zunächst einmal aktivieren wir die Schnittstelle, danach bekommt die Schnittstelle eine IP, damit Sie für alle Geräte aus dem Netz das Gateway spielen kann. Wir wählen unter "IPv4 Konfigurationstyp: "Statische IPv4" und können somit unten die IP (wie in meinem Falle die 10.10.80.254) mit der entsprechenden Subnetmaske (24er) für diese Schnittstelle vergeben.
Bis hier her habt Ihr die Vorbereitungen getroffen, um ab jetzt den DHCP für diese Schnittstelle zu konfigurieren.
DHCP-Server konfigurieren
Ein DHCP-Server wird schon "out of the box" mitgeliefert. Einfach auf "Dienste --> DHCP-Server". Wie im nachfolgenden Screenshot zu erkennen, werden die Schnittstellen, auf denen man einen DHCP-Server konfigurieren kann, oben als Registerreiter angezeigt. Wir haben somit einen neuen Tab "YTNETZ", welchen wir nun konfigurieren werden.
Logischerweise müssen wir den DHCP-Server aktivieren und unten dann eine Range/Bereich angebeben. Meiner Empfehlung nach sollte man sich den Weg nicht verbauen und die Range am Anfang gering halten, damit man noch in der Lage ist später statische Konfigurationen durchführen zu können, daher habe ich zunächst den Bereich 10.10.80.1 - 10.10.80.99 konfiguriert.
Unten müsst ihr "keinen" DNS angeben, da die pfSense sich selbst dazu anbietet, wenn nichts weiter hinterlegt ist. Wollt Ihr jedoch einen gesonderten DNS angeben, z.B. wenn Ihr ein PiHole am Start habt, dann könnt Ihr hier natürlich alternativ die IP des PiHole eintragen, wenn es nur in diesem Netz genutzt werden soll.
Gleiches gilt natürlich auch für den Punkt Gateway und Domänenname. Wenn Ihr hier nichts anderes hinterlegt, trägt sich die pfSense stellvertretend bei dem Client ein.
Das war es an der Stelle auch schon und der DHCP-Server würde jetzt schon funktionieren. Testen wir das Ganze doch einmal!
DHCP-Server testen
Es gibt zwei Möglichkeiten.
Möglichkeit 1:
Ich bediene mich einfach einer Testmaschine (hier Debian 11, es ist jedoch egal welche Maschine, es könnte natürlich auch ein Windows sein). Wie immer, da es das 8er Netz ist, bekommt die Maschine beginnend eine 8 in der ID.
Der wichtigste Punkt ist eigentlich der Tab "Netzwerk". Hier das VLAN nicht vergessen und IPv4 auf DHCP stellen. Somit frägt die Testmaschine eine IP im Netzwerk an.
DNS belassen wir ebenfalls so, somit können wir auch das später prüfen, ob die pfSense sich selbst stellvertretend einträgt.
Nachdem Ihr euch angemeldet habt, einfach ip addr eintippen und euch das Ergebnis anschauen. Siehe da, wir haben die 10.10.80.1/24 bekommen.
Möglichkeit 2:
Ihr begebt euch in der pfSense auf "Status --> DHCP Leases". Hier könntet Ihr ebenfalls sehen, ob es eine weitere Maschine gibt.
Tada die Maschine wird mit der zuvor schon ausfindig gemachten IP angezeigt.
DHCP-Reservierung
Wollt Ihr, dass eine Maschine immer die gleiche IP zugewiesen bekommt, dann gbit es auch hier zwei Möglichkeiten.
Möglichkeit 1:
Statisch, klar hier wird nichts automatisch zugewiesen, sondern IHR seid gefragt und müsstet euch auf die entsprechend Maschine aufschalten und manuell eine IP vergeben. Muss natürlich ausserhalb der DHCP-Range sein!
Möglichkeit 2:
Ihr lasst das einfach die pfSense erledigen!
Nehmen wir noch einmal diesen Screenshot, dann könnte Ihr rechts auf das "Plus"-Symbol (siehe Mauszeiger) klicken.
Hier könnt Ihr der Maschine dann eine IP eurer Wahl zuweisen. Natürlich ebenfalls außerhalb der Range. Angenommen Ihr habt einen Server, der sollte natürlich immer die gleiche IP bekommen, vor allem wenn Ihr ein Regelwerk erstellt, in welche Richtung welcher Traffic auch immer erlaubt ist. Es wäre natürlich doof, wenn die IP sich ändert über den DCHP und somit die Regel nicht mehr greift, daher vergeben wir in unserem Beispiel z.B. die 10.10.80.100. Darüber hinaus könntet Ihr nur für "diese" Maschine einen eigenen DNS, Gateway oder oder oder hinterlegen, wenn Ihr das wollt.
Nach einem Reboot der Testmaschine können wir auch dort die neue IP mit ip addr auslesen. Tada auch das hat funktioniert, die Maschine hat die 10.10.80.100/24 bekommen.
Firewall-Regel erstellen
Eigentlich könnte man hierzu einen eigenen Beitrag schreiben, aber da es passend zum Video ist, machen wir hier doch auch gleich eine kleine Regel und lassen den Verkehr von der Testmaschine in das Internet zu.
Auch hier wieder nur eine Empfehlung, natürlich könnt Ihr jetzt schon direkt eine Regel erstellen und und den Traffic ins Internet erlauben. Bei einem größeren Regelwerk, könnte dies jedoch recht schnell unübersichtlich werden. Alleine bei euch Zuhause sind sicher ein SmartTV, Hand, Laptop/PC usw. all diese Geräte sind sicher in eurem Netzwerk eingebunden und wollen ebenfalls irgendwo hin z.B. ins Internet, also wächst entsprechend auch das Regelwerk. Irgendwann wird das Ganze unübersichtlich, wenn Ihr z.B. nur IP-Adressen seht aber nicht wisst, wem die IP gerade gehört. Daher empfehle ich euch mit Objekten (Aliase) zu arbeiten. Dort könntet Ihr auch Sachen gruppieren, dazu gleich mehr.
Wir gehen auf "Firewall --> Aliase".
Da wir der Maschine eine feste IP zugewiesen haben, so können wir auch sicher sein, dass die Regel immer greift und legen für die Maschine ebenfalls ein Alias an.
Da wir jedoch mit dieser Maschine ins Internet wollen und nicht wissen, wohin die Maschine am Ende ins Internet möchte, so müssten wir "alle Netze" erlauben. Das wollen wir jedoch nicht! Daher ist mein Lösungsweg auch hier einen Alias dafür anzulegen.
Anstatt "Typ Host" nutze ich in diesem Fall "Typ Netzwerk". Im unteren Bereich lege ich all meine Netze an, die unter dem oben vergebenen Namen gruppiert werden.
Anschließend bauen wir die entsprechende Regel für den Traffic ins Internet. Unter "Firewall - Regeln" legen wir also eine neue Regel an.
Zuvor könnt Ihr oben noch die Schnittstelle anklicken, in welchem sich die Testmaschine befindet.
Wie in der nachfolgenden Regel zu sehen, erlauben wir erst einmal oben, dass der Traffic erlaubt wird. Interessant ist dann der untere Part. Wir erlauben dem Alias <Testmaschine> den weg in alle Netze "außer" dem Alias (für meine) Netze. Wichtig dabei ist hierbei die Checkbox "invert". Somit kommen wir in jedes Netz außer der von mir in dem entsprechenden Alias eingetragenen Netze.
Testen wir die Regel doch einfach wir begeben uns wieder auf die Testmaschine und setzen einen Ping auf z.B. google.de ab..
Wie zu sehen, bekommen wir eine Antwort, somit wissen wir auch, dass zeitgleich auch DNS funktioniert.
Mit dem Befehl (unter Linux, hier Debian 11)
cat /etc/resolv.conf
könnt Ihr nachprüfen, welcher DNS genutzt wird. Hier seht Ihr die pfSense, wie oben schon beschrieben, die sich stellvertretend eingetragen hat mit der 10.10.80.254.
Dann viel Erfolg beim Nachbauen
